drupal-6.30-1.AXS3
エラータID: AXSA:2014-234:01
リリース日:
2014/04/10 Thursday - 18:57
題名:
drupal-6.30-1.AXS3
影響のあるチャネル:
Asianux Server 3 for x86_64
Asianux Server 3 for x86
Severity:
High
Description:
以下項目について対処しました。
[Security Fix]
- Drupal の OpenID モジュールには,リモートの OpenID ユーザが他のユーザとして認証される脆弱性があります。(CVE-2014-1475)
- Drupal の form API は不特定のサードパーティーのモジュールと使用された場合,クロスサイトリクエストフォージェリ (CSRF) 検証が失敗した場合でもフォーム検証を行い,アプリケーションに固有の要因によって,任意のコードを実行するような,リモートの攻撃者がアプリケーションに固有の影響を及ぼす脆弱性があります。(CVE-2013-6385)
- Drupal は乱数を生成するのに PHP の mt_rand 関数を用いており,このことによって,予見できる種を使用し,リモートの攻撃者がセキュリティ文字列を予見し,ブルートフォースアタックによって,意図された制限を回避する脆弱性があります。(CVE-2013-6386)
一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/
解決策:
パッケージをアップデートしてください。
CVE:
CVE-2014-1475
The OpenID module in Drupal 6.x before 6.30 and 7.x before 7.26 allows remote OpenID users to authenticate as other users via unspecified vectors.
The OpenID module in Drupal 6.x before 6.30 and 7.x before 7.26 allows remote OpenID users to authenticate as other users via unspecified vectors.
CVE-2013-6385
The form API in Drupal 6.x before 6.29 and 7.x before 7.24, when used with unspecified third-party modules, performs form validation even when CSRF validation has failed, which might allow remote attackers to trigger application-specific impacts such as arbitrary code execution via application-specific vectors.
The form API in Drupal 6.x before 6.29 and 7.x before 7.24, when used with unspecified third-party modules, performs form validation even when CSRF validation has failed, which might allow remote attackers to trigger application-specific impacts such as arbitrary code execution via application-specific vectors.
CVE-2013-6386
Drupal 6.x before 6.29 and 7.x before 7.24 uses the PHP mt_rand function to generate random numbers, which uses predictable seeds and allows remote attackers to predict security strings and bypass intended restrictions via a brute force attack.
Drupal 6.x before 6.29 and 7.x before 7.24 uses the PHP mt_rand function to generate random numbers, which uses predictable seeds and allows remote attackers to predict security strings and bypass intended restrictions via a brute force attack.
追加情報:
N/A
ダウンロード:
SRPMS
- drupal-6.30-1.AXS3.src.rpm
MD5: 9fca0f7a81b112417795b97445f2060f
SHA-256: 46764f07f3a48b432da10411751cb41651be83ec336684f052ea680963369216
Size: 1.90 MB
Asianux Server 3 for x86
- drupal-6.30-1.AXS3.noarch.rpm
MD5: 3a9c4989d5750bfaf70af45ca47f3d4a
SHA-256: a0ca4abe0c0a4588f118e6b8befad3a65e4735043d624a91cfec47023b6a8c96
Size: 1.89 MB
Asianux Server 3 for x86_64
- drupal-6.30-1.AXS3.noarch.rpm
MD5: ac903b8c122052b12e30cdceb20689fe
SHA-256: a72cca4079bf8a6b48411b690bf38585700be1a94c1f001b3f2cf86eca287fed
Size: 1.89 MB